Arşiv dosyaları, tehdit tespit araçlarını atlatıyor

HP, üçüncü çeyrek HP Wolf Güvenlik Tehdit Öngörüleri Raporu’nu yayınladı; ZIP ve RAR dosyaları gibi arşiv dosya biçimlerinin kötü amaçlı yazılımları yaymak için en çok kullanılan dosya türü olduğunu ve üç yıl sonra ilk kez Office dosyalarını geçtiğini ortaya koydu. Gerçek dünyadaki siber saldırıların analizini sunan rapor, hızla değişen siber suç ortamında siber suçluların tespit edilmemek ve kullanıcılara zarar vermek için kullandıkları en son tekniklere dikkat çekerek kurumlara yardımcı oluyor.

HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanan araştırma, zararlı yazılımların yüzde 44’ünün arşiv dosyalarının içinden gönderildiğini ortaya koydu. Rapora göre Microsoft Word, Excel ve PowerPoint gibi Office dosyaları aracılığıyla zararlı yazılım yayma oranı olan yüzde 32’ye kıyasla, arşiv dosyalarının ulaştığı yüzde 44 oranı, bir önceki çeyreğe göre yüzde 11’lik bir artışa da işaret ediyor.

Rapor, arşiv dosyalarının kullanımını yeni HTML kaçakçılığı teknikleriyle (siber suçluların e-posta ağ geçitlerini atlamak için zararlı arşiv dosyalarını HTML dosyalarına yerleştirme teknikleri ile) birleştiren ve ardından atak başlatan birkaç saldırı tespit etti.

Örneğin, son QakBot ve IceID saldırıları, kullanıcıları Adobe gibi görünen sahte çevrimiçi belge görüntüleyicilere yönlendirmek için HTML dosyalarını kullandı. Kullanıcılara daha sonra bir ZIP dosyası açmaları ve dosyaları açmak için bir parola girmeleri talimatı verildi ve bu parolayla bilgisayarlarına kötü amaçlı yazılım yerleştirildi.

Özgün HTML dosyası içindeki zararlı yazılım kodlanmış ve şifrelenmiş olduğundan, e-posta ağ geçidi veya diğer güvenlik araçları tarafından tespit edilmesi çok zorlaşıyor. Saldırganlar sosyal mühendisliğe güveniyor ve insanları kandırarak kötü amaçlı ZIP dosyasını açması için ikna edici ve iyi tasarlanmış bir web sayfası oluşturuyor. Ekim ayında da aynı saldırganların sahte Google Drive sayfaları kullanarak kullanıcıları zararlı ZIP dosyalarını açmaları için kandırmaya çalıştıkları tespit edilmişti.

HP ayrıca, saldırganların atağın tam ortasında silahlarını (casus yazılım, fidye yazılımı, keylogger gibi) değiştirmesine veya geo-fencing (coğrafi bir bölge etrafındaki sanal sınır) gibi yeni özellikler sunmasına olanak tanıyan ve modüler bir bulaşma zinciri kullanan karmaşık bir atak tespit etti. Yani, saldırgan, ihlal ettiği hedefe bağlı olarak taktiklerini değiştirebiliyor. Kötü amaçlı yazılımın doğrudan hedefe gönderilen eke dahil edilmemesi, e-posta ağ geçitlerinin bu tür saldırıları tespit etmesini de zorlaştırıyor.

HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, dosya indirme ve bağlantılara tıklama gibi riskli adımları yalıtılmış, mikro sanal makinelere (mikro VM’ler) alıyor ve virüs bulaşma girişimlerinin ayrıntılı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilen tehditleri azaltırken yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor. HP Wolf Security, algılama araçlarını atlatan tehditleri izole ederek, siber suçlular tarafından kullanılan en son teknikler hakkında özel bilgiler topluyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.